eco-Studie: Deutsche Wirtschaft ist ungenügend auf DSGVO vorbereitet

Am 25. Mai 2018 tritt die DSGVO in Kraft. Danach müssen Unternehmen, die gegen die Datenschutzregeln der EU verstoßen mit einem Bußgeld von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes rechnen. Dessen sind sich vier Fünftel der deutschen Unternehmen bewusst, wie eine Online-Befragung zeigt, die der Internet-Verband eco zusammen mit Absolit Consulting durchgeführt hat.

Dennoch waren viele Betriebe zum Zeitpunkt der Umfrage (Mitte Februar bis Mitte März) gemäß Studienautor Torsten Schwarz erst halbherzig auf die neuen Datenschutzregeln vorbereitet. So hatte bloß ein Zehntel der Befragten seine Prozesse bereits an die DSGVO angepasst. 56 Prozent der Unternehmen waren gerade dabei, ihre Datenverarbeitung auf DSGVO-Konformität zu prüfen.

Dokumentationspflichten noch nicht umgesetzt

Schlecht sah es insbesondere bei den Dokumentationspflichten aus: Nur gerade sechs Prozent der befragten Unternehmen hatten die geforderte schriftliche Dokumentierung der Datenverarbeitungsvorgänge bereits umgesetzt. Immerhin waren 70 Prozent der Firmen in der Lage, ihren Kunden Auskunft über deren Daten zu erteilen und diese zu löschen oder zu berichtigen.

29 Prozent der Befragten hatten ihre Prozesse zur automatisierten Erstellung von Kundenprofilen noch nicht auf Übereinstimmung mit dem neuen Datenschutzrecht überprüft. 73 Prozent gaben jedoch an, die Transparenzpflicht zu erfüllen und ihre Kunden umfassend zu informieren, wie sie deren persönliche Daten verwenden. Was die Auftragsdatenverarbeitung anbelangt, gaben 39 Prozent der Befragten an, noch nicht mit allen Dienstleistern einen rechtskonformen ADV-Vertrag abgeschlossen zu haben.

Probleme beim E-Mail-Marketing

Dem Gebot der Datensparsamkeit bei der Erhebung von Mail-Adressen für Marketing-Zwecke kamen 68 Prozent der Befragten nach. Allerdings lag beim E-Mail-Marketing einiges im Argen. So fehlte bei der Hälfte der verwendeten E-Mail-Adressen eine rechtssicher nachweisbare Einwilligung der Empfänger, etwa durch ein Double-Opt-in. Und bei 22 Prozent der für Werbezwecke genutzten Mail-Adressen lag gar keine oder zumindest keine genügende Einwilligung vor. Was sie mit diesen Adressen zu tun gedenken, wussten viele Umfrageteilnehmer zum Zeitpunkt der Befragung nicht. Knapp die Hälfte gab an, sie müsse sich darüber noch Gedanken machen.

Zuständig für solche Gedanken ist der betriebliche Datenschutzbeauftragte. Die Befragung des Internet-Verbandes eco ergab, dass 57 Prozent der Unternehmen diese Aufgabe einem Mitarbeiter übertragen. 35 Prozent lagern den betrieblichen Datenschutz aus und vier Prozent verzichten auf einen Datenschutzbeauftragten.

An der eco-Studie nahmen 606 Firmen teil, darunter 335 große Unternehmen mit über 500 Mitarbeitern und 271 KMU.